Se ha observado que un actor de amenazas alineado con Rusia apunta a una institución financiera europea como parte de un ataque de ingeniería social para probablemente facilitar la recopilación de inteligencia o el robo financiero, lo que indica una posible expansión de los objetivos del actor de amenazas más allá de Ucrania y hacia entidades que apoyan a la nación devastada por la guerra.
La actividad, que tuvo como objetivo una entidad no identificada involucrada en iniciativas de desarrollo y reconstrucción regional, se ha atribuido a un grupo de delitos cibernéticos rastreado como UAC-0050 (también conocido como Grupo DaVinci). BlueVoyant ha designado el nombre Mercenary Akula al grupo de amenazas. El ataque se observó a principios de este mes.
«El ataque falsificó un dominio judicial ucraniano para entregar un correo electrónico que contenía un enlace a una carga útil de acceso remoto», dijeron los investigadores Patrick McHale y Joshua Green en un informe compartido con The Hacker News. «El objetivo era un asesor legal y político senior involucrado en adquisiciones, un rol con conocimiento privilegiado de las operaciones institucionales y los mecanismos financieros».
El punto de partida es un correo electrónico de phishing que utiliza temas legales para dirigir a los destinatarios a descargar un archivo alojado en PixelDrain, un servicio de intercambio de archivos utilizado por el actor de amenazas para eludir los controles de seguridad basados en la reputación.
El ZIP es responsable de iniciar una cadena de infección de múltiples capas. Dentro del archivo ZIP hay un archivo RAR que contiene un archivo 7-Zip protegido con contraseña, que incluye un ejecutable que se hace pasar por un documento PDF mediante el uso del truco de doble extensión, del que tanto se abusa (*.pdf.exe).
La ejecución da como resultado la implementación de un instalador MSI para Remote Manipulator System (RMS), un software de escritorio remoto ruso que permite el control remoto, el uso compartido de escritorio y la transferencia de archivos.
«El uso de este tipo de herramientas para ‘vivir de la tierra’ proporciona a los atacantes un acceso persistente y sigiloso, mientras que a menudo evaden la detección antivirus tradicional», señalaron los investigadores.
El uso de RMS se alinea con el modus operandi anterior de UAC-0050, y se sabe que el actor de amenazas utiliza software legítimo de acceso remoto como LiteManager y troyanos de acceso remoto como RemcosRAT en ataques dirigidos a Ucrania.
El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha caracterizado a UAC-0050 como un grupo mercenario asociado con agencias policiales rusas que lleva a cabo recopilación de datos, robo financiero y operaciones de información y psicológicas bajo la marca Fire Cells.
«Este ataque refleja el perfil de ataque repetitivo y bien establecido de Mercenary Akula, al mismo tiempo que ofrece un desarrollo notable», dijo BlueVoyant. «En primer lugar, su objetivo se ha centrado principalmente en entidades con sede en Ucrania, especialmente contadores y funcionarios financieros. Sin embargo, este incidente sugiere una posible investigación de instituciones que apoyan a Ucrania en Europa occidental».
La revelación se produce cuando Ucrania reveló que los ciberataques rusos dirigidos a la infraestructura energética del país se centran cada vez más en recopilar inteligencia para guiar los ataques con misiles en lugar de interrumpir inmediatamente las operaciones, informó The Record.
La empresa de ciberseguridad CrowdStrike, en su Informe anual sobre amenazas globales, dijo que espera que los adversarios del nexo con Rusia continúen realizando operaciones agresivas con el objetivo de recopilar inteligencia de objetivos ucranianos y estados miembros de la OTAN.
Esto incluye los esfuerzos realizados por APT29 (también conocido como Cozy Bear y Midnight Blizzard) para explotar «sistemáticamente» la confianza, la credibilidad organizacional y la legitimidad de la plataforma como parte de campañas de phishing dirigidas a organizaciones no gubernamentales (ONG) con sede en EE. UU. y a una entidad legal con sede en EE. UU. para obtener acceso no autorizado a las cuentas de Microsoft de las víctimas.
«Cozy Bear comprometió o se hizo pasar por individuos con quienes los usuarios objetivo mantenían relaciones profesionales de confianza», dijo CrowdStrike. «Las personas suplantadas incluían empleados de filiales de ONG internacionales y organizaciones pro Ucrania».
«El adversario invirtió mucho en fundamentar estas suplantaciones, utilizando cuentas de correo electrónico legítimas de personas comprometidas junto con canales de comunicación desechables para reforzar la autenticidad».